随手分析 MyQQ MyQQA MyQQG 供应链投毒
服务器被搞,核心 DLL 被恶意修改
正常 MyQQApi.dll
被投毒后的
因为 MyQQApi 操作太简单了所以不说了
就是释放内嵌的木马 svchost.exe 到指定目录,然后启动
释放的 svchost.exe 其实是一个麦咖啡的 exe(mcinsupd.exe)来自 McAfee VirusScan Plus 产品
被改造后的 sub_40F0D3 函数被替换了一个 jmp sub_40F3FE,这个被修改成了 shellcode
首先是初始化 api,然后 socket 连接到 a2.fafafazq.com
发送 7 数据然后接收 shellcode 在分配内存执行
不过响应的太快了导致我根本就没有拿到 shellcode,到这里也就断了,微步上的流量里也没有 shellcode 部分,没啥太大可说的就这样吧!
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论